¿Cómo configuro Okta como proveedor de identidades de OpenID Connect en un grupo de usuarios de Amazon Cognito?
Deseo usar Okta como proveedor de identidades (IdP) de SAML 2.0 en un grupo de usuarios de Amazon Cognito.
Breve descripción
Los grupos de usuarios de Amazon Cognito permiten iniciar sesión a través de un tercero (federación), incluso a través de un IdP como Okta. Para obtener más información, consulte Agregar inicio de sesión de grupo de usuarios a través de un tercero y Agregar proveedores de identidad SAML a un grupo de usuarios.
Un grupo de usuarios integrado con Okta permite a los usuarios de su aplicación de Okta obtener los tokens del grupo de usuarios de Amazon Cognito. Para obtener más información, consulte Uso de tokens con grupos de usuarios.
Resolución
Crear un grupo de usuarios de Amazon Cognito con un cliente de aplicación y un nombre de dominio
- Cree un grupo de usuarios.
Nota: Durante la creación, el atributo estándar email se selecciona de forma predeterminada. Para obtener más información, consulte Custom pool attributes. - Cree un cliente de aplicación en el grupo de usuarios. Para obtener más información, consulte Agregar un cliente de aplicación y configurar la interfaz de usuario alojada.
- Agregue un nombre de dominio para el grupo de usuarios.
Registrarse para obtener una cuenta de desarrollador de Okta
Nota: Si ya tiene una cuenta de desarrollador de Okta, inicie sesión.
- En la página web de registro para desarrolladores de Okta, introduzca su información personal y, a continuación, seleccione SIGN UP. El equipo de desarrolladores de Okta le enviará un correo electrónico de verificación a la dirección de correo electrónico que ha proporcionado.
- En el correo electrónico de verificación, busque la información de inicio de sesión de su cuenta. Elija ACTIVATE, inicie sesión y termine de crear la cuenta.
Crear una aplicación de Okta
- Abra la consola para desarrolladores de Okta. Para obtener más información sobre la consola, consulte Okta’s Redesigned Admin Console and Dashboard—Now in GA! en el blog de desarrolladores de Okta.
- En el panel de navegación, expanda Applications y, a continuación, seleccione Applications. Así se abrirá la consola de aplicaciones. Para obtener más información, consulte Administrator Console en la página Okta Organizations del sitio web de Okta.
- Elija Create App Integration.
- En la página Create a new app integration, elija OpenID Connect, elija Web Application y, a continuación, elija Next.
Configurar los ajustes de la aplicación de Okta
- En la página New Web App Integration en General Settings, introduzca un nombre para la aplicación. Por ejemplo, TestApp.
- En Grant type, confirme que la casilla de comprobación Authorization Code esté seleccionada. Su grupo de usuarios utiliza este flujo para comunicarse con Okta OIDC para el inicio de sesión de usuarios federados.
- En Sign-in redirect URIs, introduzca https://myUserPoolDomain/oauth2/idpresponse. Aquí es donde Okta envía la respuesta de autenticación y el token de ID.
Nota: Sustituya myUserPoolDomain por el dominio del grupo de usuarios de Amazon Cognito. Puede encontrar el dominio en la consola de Amazon Cognito, en la página Nombre de dominio de su grupo de usuarios. - En CONFIGURE OPENID CONNECT, para Login redirect URIs, introduzca https://myUserPoolDomain/oauth2/idpresponse. Aquí es donde Okta envía la respuesta de autenticación y el token de ID.
Nota: Sustituya myUserPoolDomain por el dominio del grupo de usuarios de Amazon Cognito. Busque el dominio en la consola de Amazon Cognito en la página Nombre de dominio de su grupo de usuarios. - En Controlled access, elija la configuración de acceso que prefiera y, a continuación, seleccione Save.
- En Client Credentials, copie Client ID y Client secret. Necesita estas credenciales para configurar Okta en su grupo de usuarios de Amazon Cognito.
- Seleccione Sign On.
- En la página Sign On, en OpenID Connect ID Token, anote la URL del Issuer. Necesita esta URL para configurar Okta en su grupo de usuarios.
Añadir un IdP de OIDC al grupo de usuarios
- En la consola de Amazon Cognito, seleccione Administrar los grupos de usuarios y, a continuación, elija el grupo de usuarios.
- En el panel de navegación de la izquierda, en Federación, seleccione Proveedores de identidad.
- Elija OpenID Connect.
- Haga lo siguiente:
En Nombre del proveedor, introduzca un nombre para el IdP. Este nombre aparecerá en la interfaz de usuario web alojada en Amazon Cognito.
Nota: No puede cambiar este campo después de crear el proveedor. Si tiene previsto incluir este campo en su aplicación o utilizar la interfaz de usuario web alojada en Amazon Cognito, utilice un nombre que no le suponga ningún problema que los usuarios vean.
En ID de cliente, pegue el ID de cliente que anotó de Okta anteriormente.
En Secreto de cliente (opcional), pegue el Secreto de cliente que anotó de Okta anteriormente.
En Método de solicitud de atributos, deje la configuración como GET.
En Autorizar ámbito, introduzca los valores del ámbito de OIDC que desee autorizar, separados por espacios. Para obtener más información, consulte Scope values en OpenID Connect Basic Client Implementer's Guide 1.0 del sitio web de OpenID.
Importante: El ámbito openid es obligatorio para los IdP de OIDC y puede añadir otros ámbitos según la configuración de su grupo de usuarios. Por ejemplo, si ha mantenido correo electrónico como atributo obligatorio al crear su grupo de usuarios, introduzca email openid para incluir ambos ámbitos. Puede asignar el atributo de correo electrónico a su grupo de usuarios más adelante en esta configuración.
En Emisor, pegue la URL del Emisor que copió de Okta anteriormente.
En Identificadores (opcional), puede introducir opcionalmente una cadena personalizada para utilizarla más adelante en la URL del punto de conexión en lugar del nombre del IdP de OIDC. - Elija Ejecutar la detección para obtener los puntos de conexión de configuración de OIDC para Okta.
- Elija Crear un proveedor.
Para obtener más información, consulte Agregar un IdP OIDC al grupo de usuarios.
Cambiar la configuración del cliente de aplicaciones para el grupo de usuarios
- En la consola de Amazon Cognito, seleccione Administrar los grupos de usuarios y, a continuación, elija el grupo de usuarios.
- En el panel de navegación de la izquierda, en Integración de aplicaciones, seleccione Configuración del cliente de aplicación.
- En la página del cliente de la aplicación, haga lo siguiente:
En Proveedores de identidades habilitados, marque la casilla de comprobación del proveedor de OIDC para el IdP que creó anteriormente.
(Opcional) Marque la casilla de comprobación Grupo de usuarios de Cognito.
En Direcciones URL de devolución de llamada, introduzca la URL a la que desea que se redirijan los usuarios después de iniciar sesión. Para realizar pruebas, puede introducir cualquier URL válida, como https://ejemplo.com/.
En Direcciones URL de cierre de sesión, introduzca la URL a la que desea que se redirijan los usuarios después de cerrar sesión. Para realizar pruebas, puede introducir cualquier URL válida, como https://ejemplo.com/.
En Flujos de OAuth permitidos, seleccione los flujos que correspondan a los tipos de concesión que desea que reciba la aplicación tras la autenticación de Cognito.
Nota: Los flujos de OAuth permitidos que habilite determinan qué valores (código o token) puede usar para el parámetro response_type en la URL de su punto de conexión.
En Ámbitos de OAuth permitidos, seleccione al menos las casillas de verificación de email y openid. - Seleccione Guardar cambios.
Para obtener más información, consulte Terminología de la configuración del cliente de la aplicación.
Asignar el atributo de correo electrónico a un atributo de grupo de usuarios
Si ha autorizado el valor de ámbito de OIDC de correo electrónico anteriormente, asígnelo a un atributo de grupo de usuarios.
- En la consola de Amazon Cognito, seleccione Administrar los grupos de usuarios y, a continuación, elija el grupo de usuarios.
- En el panel de navegación de la izquierda, en Federación, seleccione Asignación de atributos.
- En la página de asignación de atributos, seleccione la pestaña OIDC.
- Si tiene más de un proveedor de OIDC en el grupo de usuarios, elija su nuevo proveedor en la lista desplegable.
- Confirme que el atributo de OIDC sub está asignado al atributo Username.
- Elija Agregar un atributo OIDC y, a continuación, haga lo siguiente:
En Atributo OIDC, introduzca el correo electrónico.
En Atributo de grupo de usuarios, elija Correo electrónico.
Para obtener más información, consulte Especificación de asignaciones de atributos del proveedor de identidad para su grupo de usuarios.
Iniciar sesión para probar la configuración
Autentique con Okta mediante la interfaz de usuario web alojada en Amazon Cognito. Tras iniciar sesión correctamente, se le redirigirá a la URL de devolución de llamada del cliente de aplicación. El código de autorización o los tokens del grupo de usuarios aparecen en la URL de la barra de direcciones del navegador web.
Para obtener más información, consulte Configuración y uso de la interfaz de usuario alojada y los puntos de conexión de federación de Amazon Cognito.
Información relacionada
Flujo de autenticación de proveedores de identidad (IdP) de grupos de usuarios OIDC
Contenido relevante
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año